2015年07月07日
Tweet
今まで sshd を設定するときには、せいぜい PermitRootLogin を no にするぐらいでした。
しかしいろいろなオプションがあるということで調べてみました。
参考
SSH で root のみ公開鍵認証を強制する
sshd_config&PAMの設定
PermitRootLogin には yes / no の他に、設定があるようでした。
without-password ・・・ root ユーザーのみパスワード認証を拒否(公開鍵認証はOK)
forced-commands-only ・・・ 公開鍵認証で許可されたコマンドのみ実行可能
ただし、公開鍵認証を有効にする場合には、UsePAM yes の設定が必要です。
ChallengeResponseAuthentication は、公開鍵認証の場合には、 noでOKのようです。ケルベロスの時には yes でしょうね。
指定したコマンドのみを許可??調べてみました。
参考
sshで指定したコマンドしか実行できない公開鍵を作る
> command="実行させたいコマンド",sshのオプションをカンマ区切りで書く
authorized_keys の先頭に記載するみたいですね。しかもログインされると、コマンドを実行してすぐにログアウトするようです。こんな使い方があったなんで・・・。
個人的には、
PermitRootLogin no ※場合によってはwithout-passwordでもいいかな?
PasswordAuthentication yes ※パスワード認証を有効にする。もちろん公開鍵も利用可能です。そのときはパスフレーズを利用しています
Port XX ※ポートを変更するだけで、かなりアタックが減ります。
などでしょうか。
しかしいろいろなオプションがあるということで調べてみました。
参考
SSH で root のみ公開鍵認証を強制する
sshd_config&PAMの設定
PermitRootLogin には yes / no の他に、設定があるようでした。
without-password ・・・ root ユーザーのみパスワード認証を拒否(公開鍵認証はOK)
forced-commands-only ・・・ 公開鍵認証で許可されたコマンドのみ実行可能
ただし、公開鍵認証を有効にする場合には、UsePAM yes の設定が必要です。
ChallengeResponseAuthentication は、公開鍵認証の場合には、 noでOKのようです。ケルベロスの時には yes でしょうね。
指定したコマンドのみを許可??調べてみました。
参考
sshで指定したコマンドしか実行できない公開鍵を作る
> command="実行させたいコマンド",sshのオプションをカンマ区切りで書く
authorized_keys の先頭に記載するみたいですね。しかもログインされると、コマンドを実行してすぐにログアウトするようです。こんな使い方があったなんで・・・。
個人的には、
PermitRootLogin no ※場合によってはwithout-passwordでもいいかな?
PasswordAuthentication yes ※パスワード認証を有効にする。もちろん公開鍵も利用可能です。そのときはパスフレーズを利用しています
Port XX ※ポートを変更するだけで、かなりアタックが減ります。
などでしょうか。